公務(wù)員期刊網(wǎng) 精選范文 身份認證技術(shù)論文范文

身份認證技術(shù)論文精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的身份認證技術(shù)論文主題范文,僅供參考,歡迎閱讀并收藏。

身份認證技術(shù)論文

第1篇:身份認證技術(shù)論文范文

【Abstract】With the rapid development of information technology, colleges expect the verification of candidate information can be more reliable, scientific and unified.. However,the lack of human resource, low information verification efficiency and instead of someone else in examination frequency, make the examination process is difficult to realize optimization. To overcome these drawbacks, the article takes the two-dimensional code as the information transmission interface, analyzes and designs the network architecture, logical structure and physical deployment of dimensional code authentication platform, provides a useful and practical reference for college to realize authentication informatization .

【P鍵詞】二維碼;高校;身份認證

【Keywords】two-dimensional code ; university; identity authentication

【中圖分類號】C39 【文獻標志碼】A 【文章編號】1673-1069(2017)04-0166-03

1 引言

高校作為人才的培養(yǎng)基地,一直以來都扮演著科教興國的重要角色,考試制度也順理成章的成為了檢閱人才的必備標桿。然而,社會上的不誠信現(xiàn)象屢見不鮮,加之社會信用體系不完善,客觀上助長了不誠信風氣。大學(xué)生作弊現(xiàn)象,代考現(xiàn)象日益加劇,使得考試成績的真實性每況愈下,經(jīng)調(diào)查,

60. 4%的大學(xué)生想過考試作弊,39. 1% 的大學(xué)生自述曾有過作弊經(jīng)歷。這種弄虛作假的行為嚴重威脅著國家政策的施行,也使得高校教育策略岌岌可危。為糾正各類教育考試中考生代考、作弊等行為,進一步加強考試環(huán)境的綜合治理,我們引入二維碼技術(shù)來進行考生身份認證。通過掃描二維碼將考生最新信息呈現(xiàn)給監(jiān)考教師,防止了考生準考證信息因磨損失真、不完全、容易被篡改等現(xiàn)象而引起代考行為的發(fā)生,保證了信息的統(tǒng)一化、可靠化、科學(xué)化管理,實現(xiàn)了考生信息的動態(tài)更新。系統(tǒng)采用各種最新技術(shù)來提高用戶體驗,保證信息的安全性,一定程度上實現(xiàn)了功能和體驗的雙贏[1]。

2 二維碼技術(shù)的發(fā)展

二維碼是20世紀90年代興起的一種新技術(shù),它是以某種特定的幾何圖形按一定規(guī)律在平面上分布組成黑白相間的圖形來記錄數(shù)據(jù)符號信息的技術(shù)。和一維碼相比較,二維碼不但具有存儲容量大、信息密度大(在一個不大的圖形內(nèi)可存儲數(shù)字、英文、漢字、指紋、聲音和圖片等信息)、 采集速度快、制作成本低、糾錯能力強、安全性高等特點,還成功彌補了一維碼只能包含字母與數(shù)字的缺陷。它可以從水平軸X軸和縱軸Y軸即橫向和垂直兩個方向?qū)π畔⑦M行存儲和處理,這樣既提高了條碼信息存儲量又加速了信息的處理速度等優(yōu)點,也正是這些優(yōu)勢使得它廣泛流行于各國各行業(yè)中。

我國對二維碼技術(shù)的研究開始于1993年,截至目前,條碼標準體系還尚顯單薄,具有自主知識產(chǎn)權(quán)和核心研發(fā)技術(shù)體系還很少,二維碼的推廣和發(fā)展受到了一定阻礙。但是隨著我國通信網(wǎng)絡(luò)的升級、智能手機的普及和民眾意識的轉(zhuǎn)變,二維碼的應(yīng)用前景也漸漸明朗起來,在消化國外先進技術(shù)文化的基礎(chǔ)上,制定了一系列二維碼標準:如GB/T17172-1997《四一七條碼》,GB/T18284-2000《快速響應(yīng)矩陣碼》,《二維碼網(wǎng)格矩陣碼(GM)》,《二維碼緊密矩陣碼(CM)》等,并已在我國的汽車行業(yè)自動化生產(chǎn)線、醫(yī)療急救服務(wù)卡、涉外專利案件收費、珠寶玉石飾品管理及銀行匯票上得到了應(yīng)用。國內(nèi)多家IT企業(yè)如阿里巴巴、騰訊、百度、新浪等對二維碼的試水,以及中國電信、中國聯(lián)通、中國移動等電信巨頭在二維碼手機應(yīng)用領(lǐng)域的介入都充分顯示了二維碼應(yīng)用在我國強勁的發(fā)展勢頭,我國也在不斷投入資源,鼓勵摸索前進,積極研究和開辟新的應(yīng)用和領(lǐng)域。

通過文獻梳理和調(diào)查國內(nèi)外關(guān)于二維碼技術(shù)的應(yīng)用,我們發(fā)現(xiàn)高校對二維碼技術(shù)的應(yīng)用仍處于啟蒙階段,同時,師生證件繁多、不易保管、信息不完整、易損壞、易仿制、丟失使得信息的傳遞存在極大的風險。鑒于二維碼的特點和應(yīng)用,廣大師生已在日常生活中對其有了初步了解。開發(fā)基于二維碼技術(shù)的高??忌矸菡J證系統(tǒng),生成包含高校師生身份認證名片,能夠在極大程度上推動高校信息化發(fā)展,確保信息的完整、真實、易用,做到誠信考試,有效規(guī)避代考作弊等行為[2]。

第2篇:身份認證技術(shù)論文范文

論文摘要:隨著移動存儲設(shè)備的廣泛應(yīng)用,由其引發(fā)的信息泄漏等安全問題日益受到關(guān)注。針對目前移動存儲安全解決方案中利用用戶名和密碼進行身份認證的不足,本文提出了基于智能卡技術(shù)的安全管理方案。該方案將指紋特征作為判定移動存儲設(shè)備持有者身份的依據(jù),同時通過智能卡技術(shù)實現(xiàn)了移動存儲設(shè)備與接入終端間的雙向認證,從源頭上杜絕了移動存儲設(shè)備帶來的安全隱患。

1引言

移動存儲設(shè)備因其體積小、容量大、使用靈活而應(yīng)用廣泛,但其本身的“匿名性”給設(shè)備安全管理帶來了巨大挑戰(zhàn),身份認證難、信息易泄露、常攜帶病毒等問題一直困擾著用戶和計算機系統(tǒng)安全人員。

在移動存儲的安全管理上應(yīng)基于兩個層面:首先是移動存儲設(shè)備對用戶的身份認證,以確保移動存儲設(shè)備持有者身份的合法性;其次是移動存儲設(shè)備與接入終端間的雙向認證。目前,移動存儲的安全管理往往是基于用戶名和口令的身份認證方案,容易受到非法用戶“假冒身份”的攻擊,同時系統(tǒng)中所保存的口令表的安全性也難以保障,因此該方案存在較大的安全隱患。少數(shù)采用生物特征識別的安全方案也僅僅做到了第一個層面的身份認證,仍無法解決對移動存儲設(shè)備本身的身份認證以及移動存儲設(shè)備對接入終端的身份認證。然而,移動存儲設(shè)備和接入終端間雙向認證的必要性是顯而易見的,只有被終端信任的移動存儲設(shè)備才允許接入;同時,當終端也被移動存儲設(shè)備信任時,移動存儲設(shè)備和終端才能獲得彼此間相互讀寫的操作權(quán)限。只有實現(xiàn)上述的雙向認證,才能有效地在源頭杜絕移動存儲設(shè)備帶來的安全隱患。

本文描述了一種移動存儲安全管理方案,針對U盤和移動硬盤等移動存儲設(shè)備,基于智能卡技術(shù),結(jié)合指紋識別模塊,解決了設(shè)備持有者的身份認證以及設(shè)備與接人終端間的雙向認證問題,并將設(shè)備持有者的指紋作為實名訪問信息記人審計系統(tǒng),進一步完善了移動存儲的安全管理方案。

2基于指紋識別的用戶身份認證

指紋識別技術(shù)主要涉及指紋圖像采集、指紋圖像處理、特征提取、數(shù)據(jù)保存、特征值的比對和匹配等過程,典型的指紋識別系統(tǒng)如圖1所示。

指紋識別系統(tǒng)

指紋圖像預(yù)處理的目的是去除指紋圖像中的噪音,將其轉(zhuǎn)化為一幅清晰的點線圖,便于提取正確的指紋特征。預(yù)處理影響指紋識別的效果,具有重要的意義。它分四步進行,即灰度濾波、二值化、二值去噪和細化。圖像細化后,采用細節(jié)點模板提取出指紋圖像的脊線末梢和脊線分支點的位置,將指紋認證問題轉(zhuǎn)化成為點模式匹配問題。

如圖2所示,移動存儲設(shè)備采用兼容多種設(shè)備接口的控制芯片、安全控制閃存芯片、大容量用戶標準Flash構(gòu)成硬件基礎(chǔ),以智能卡控制芯片為控制中心,結(jié)合指紋識別模塊,實現(xiàn)對設(shè)備持有者的身份認證;同時,結(jié)合大容量普通閃存存儲結(jié)構(gòu),實現(xiàn)數(shù)據(jù)存儲低層管理和數(shù)據(jù)存儲加密。

3基于智能卡技術(shù)的雙向認證

為加強系統(tǒng)認證安全性與可信性,在移動存儲設(shè)備內(nèi)集成智能卡模塊,使之具備計笄能力,從而實現(xiàn)移動存儲設(shè)備與終端之問的雙向認證。移動存儲設(shè)備的身份文件存放于智能卡模塊中。身份文件是指存儲著移動存儲設(shè)備各項物理特征信息的私密文件,由于這些物理特征信息與個體緊密相聯(lián),所以可以起到唯一鑒別該移動存儲設(shè)備的作用。

智能卡模塊提供對終端的認證,只有通過認證的終端才能訪問身份文件和移動存儲設(shè)備中的數(shù)據(jù)。將現(xiàn)有移動存儲設(shè)備硬件結(jié)構(gòu)進行改造,在其中分別加人指紋處理模塊與智能卡模塊后的硬件結(jié)構(gòu)如圖3所示。

智能卡模塊內(nèi)置CPU、存儲器、加解密算法協(xié)處理器、隨機數(shù)發(fā)生器等硬件單元,及芯片操作系統(tǒng)(COS)、芯片文件系統(tǒng)等多個功能模塊。其內(nèi)部具有安全數(shù)據(jù)存儲空間,用于存放移動存儲設(shè)備的身份文件。對該存儲空間的讀寫受身份認證機制保護,只有通過認證的用戶和終端才能對其進行訪問,并且操作必須通過定制的應(yīng)用程序?qū)崿F(xiàn),用戶無法直接讀取。支持指紋認證的智能卡文件系統(tǒng)如圖4所示。

對終端的身份認證方式有多種,本方案采用沖擊一響應(yīng)的認證方式_7]。需要驗證終端身份時,終端向智能卡模塊發(fā)送驗證請求,智能卡模塊接到此請求后產(chǎn)生一組隨機數(shù)發(fā)送給終端(稱為沖擊)。終端收到隨機數(shù)后,使用終端認證軟件內(nèi)置的密鑰對該隨機數(shù)進行一次三重DES加密運算,并將得到的結(jié)果作為認證依據(jù)傳給智能卡模塊(稱為響應(yīng)),與此同時,智能卡模塊也使用該隨機數(shù)與內(nèi)置的密鑰進行相同的密碼運算,若運算結(jié)果與終端傳回的響應(yīng)結(jié)果相同,則通過認證。這種認證方式以對稱密碼為基礎(chǔ),特點是實現(xiàn)簡單,運算速度快,安全性高,比較適合對移動存儲設(shè)備的認證。

在終端通過認證,取得移動存儲設(shè)備信任的前提下,終端通過智能卡模塊讀取移動存儲設(shè)備身份文件,對移動存儲設(shè)備進行準入認證。只有在雙向認證通過的情況下,移動存儲設(shè)備才能接入可信終端,進而在授權(quán)服務(wù)器分發(fā)的安全策略下與可信域終端進行正常的讀寫操作。

4移動存儲安全管理系統(tǒng)設(shè)計

在采用智能卡技術(shù)的基礎(chǔ)上,加入移動存儲安全管理系統(tǒng),提供對移動存儲設(shè)備的接人控制,將認證體系擴展至計算機USB總線。

安全管理系統(tǒng)的認證體系示意圖如圖5所示。各終端首先需要加入某個信任域,在此之后可對移動存儲設(shè)備提供基于所在信任域的接入認證,如果終端沒有通過信任域認證,則不允許任何移動存儲設(shè)備接入。

授權(quán)認證服務(wù)器位于各信任域的公共區(qū)域中,為各信任域的終端提供移動存儲設(shè)備授權(quán)認證服務(wù)。它將設(shè)備授權(quán)給某個信任域后,該設(shè)備便成為該區(qū)域中的授權(quán)設(shè)備,可在該區(qū)域中任意一臺終端上使用;在其他區(qū)域使用時將被認為是未授權(quán)的,接入將被拒絕。隔離區(qū)中的終端與授權(quán)認證服務(wù)器不能通過網(wǎng)絡(luò)相連,從而保證了被隔離的終端不能夠使用移動存儲設(shè)備,防止安全隱患向外擴散。這種把安全域細分成不同信任域的整體設(shè)計可以最大限度地防止安全實體內(nèi)敏感數(shù)據(jù)的任意傳播,大大降低信息向外非法泄露的可能性。

終端移動設(shè)備認證軟件部署在網(wǎng)絡(luò)系統(tǒng)中的各臺終端上,實時監(jiān)測終端上所有USB接口,探測接人的移動存儲設(shè)備。發(fā)現(xiàn)設(shè)備后,認證軟件將與接入設(shè)備進行相互認證,并與認證服務(wù)器通信,對設(shè)備進行認證,通過認證的設(shè)備被認為是當前信任域的授權(quán)設(shè)備,否則將被認為是未授權(quán)的。根據(jù)認證結(jié)果,允許或禁止移動設(shè)備接入。

4.1授權(quán)流程描述

服務(wù)器端授權(quán)軟件運行時,探測出所有連接到授權(quán)服務(wù)器上的移動存儲設(shè)備,并將結(jié)果報告給管理員。管理員指定需要授權(quán)的設(shè)備,填寫好授權(quán)區(qū)域、授權(quán)日期、授權(quán)人、授權(quán)有效期并錄入用戶指紋信息后,授權(quán)軟件開始對該移動存儲設(shè)備進行授權(quán)。

(1)獲取該設(shè)備的各項物理信息,這些信息具有特征標識,可以唯一地標識該設(shè)備;

(2)將收集到的物理信息和管理員輸入的授權(quán)區(qū)域、授權(quán)日期、授權(quán)人、授權(quán)有效期等信息以一定格式排列,并注入隨機字符,采用三重DES運算,生成身份文件;

(3)設(shè)置移動存儲設(shè)備中指紋模塊的指紋信息;

(4)將智能卡模塊中的認證密鑰設(shè)成與終端事先約定好的密鑰;

(5)將(3)中生成的身份文件存入智能卡模塊中的安全數(shù)據(jù)存儲空間。

4.2認證流程描述

圖6是移動存儲設(shè)備管理系統(tǒng)完成認證的整個流程,其步驟如下:

(1)終端認證軟件判斷當前終端所處區(qū)域,如果處于信任域中,掃描各USB端口狀態(tài),判斷是否有新設(shè)備接人;如果處于隔離區(qū),則拒絕任何USB移動設(shè)備接入。

(2)如果探測到新設(shè)備接入,智能卡CPU調(diào)用指紋處理模塊,接收并驗證用戶指紋。

(3)如果指紋認證通過,則終端向USB存儲設(shè)備發(fā)送認證請求;否則禁用該USB存儲設(shè)備。

(4)如果沒有收到USB存儲設(shè)備的智能卡模塊發(fā)來的隨機數(shù),證明該設(shè)備是不符合系統(tǒng)硬件設(shè)計要求的,拒絕接入;如果收到隨機數(shù),則進行沖擊一響應(yīng)認證。如果沒有通過認證,證明該終端為非信任終端,智能卡模塊拒絕該設(shè)備接人終端。

(5)終端讀取智能卡模塊存儲的身份文件,并讀取該設(shè)備的各項物理信息,將身份文件、物理信息及終端所處的信任域信息發(fā)送至認證服務(wù)器進行認證。

(6)服務(wù)器認證軟件接收到終端發(fā)送來的信息后,將標識文件解密,得到授權(quán)區(qū)域、授權(quán)日期、授權(quán)人、授權(quán)有效期等信息。

①將解密得到的物理信息與終端發(fā)來的物理信息作比對,如果不相符,證明該標識文件是被復(fù)制或偽造的,向終端發(fā)送未通過認證的指令。

②如果①中認證通過,將解密得到的信任域信息與終端發(fā)來的信任域信息作比對,如果不相符,證明該移動存儲設(shè)備處于非授權(quán)區(qū)域中,向終端發(fā)送未通過認證的指令。

③如果②中認證通過,將解密得到的授權(quán)有效期與當前日期做比較,如果當前日期處于有效期內(nèi),向終端發(fā)送通過認證的指令;如果當前日期處于有效期外,向終端發(fā)送未通過認證的指令。

(7)終端接收認證服務(wù)器發(fā)來的指令,對USB設(shè)備執(zhí)行允許或禁止接入的操作。如果USB設(shè)備被允許接入,則智能卡模塊將設(shè)備持有者指紋提交給認證服務(wù)器,作為已授權(quán)訪問記錄記入日志中。

(8)轉(zhuǎn)至(2)繼續(xù)探測新設(shè)備。

5安全性分析

本方案通過在移動存儲設(shè)備中加入指紋識別模塊和智能卡模塊,更安全可靠地解決了設(shè)備持有者身份認證問題以及移動存儲設(shè)備的“匿名性”問題,通過引入身份文件,實現(xiàn)了移動存儲設(shè)備的實名制認證。結(jié)合智能卡的相關(guān)技術(shù),本方案從根本上解決了移動存儲設(shè)備與接入終端問的雙向認證問題,構(gòu)建了雙方互信的安全傳輸環(huán)境。

基于信任域的劃分對設(shè)備進行授權(quán)管理,使整個系統(tǒng)能夠同時對終端和移動存儲設(shè)備提供接人控制,有效地阻止了安全威脅的傳播。在方案的具體實現(xiàn)上,有如下安全性考慮:

(1)移動存儲設(shè)備采用指紋識別的方式認證設(shè)備持有者身份,確保其身份的合法性;采用三重DES對稱加密的方式對終端進行認證,確保終端為運行認證軟件的合法授權(quán)終端,有效地避免了強力破解的可能性。

(2)移動存儲設(shè)備的物理信息各不相同,身份文件也是唯一確定的。身份文件采用三重DES加密的方式,加解密過程全部在服務(wù)器端認證軟件中完成,密鑰不出服務(wù)器,避免了密碼被截獲的可能性。身份文件存儲于智能卡模塊中的安全數(shù)據(jù)存儲區(qū),受智能卡模塊軟硬件的雙重保護。方案保證了身份文件的唯一性、抗復(fù)制性和抗偽造性,任何非授權(quán)設(shè)備都無法通過破譯、復(fù)制、偽造等人侵手段冒名成為授權(quán)設(shè)備。

(3)認證服務(wù)器與隔離區(qū)中的終端相互隔離,只能被信任域中的終端訪問,保證了認證服務(wù)器的安全。

(4)雙向認證通過后,被授權(quán)的移動存儲設(shè)備將設(shè)備持有者的指紋記入授權(quán)服務(wù)器的訪問日志中,以便日后能夠準確地確定安全事故責任人。

綜上所述,通過指紋識別技術(shù)、智能卡技術(shù)、密碼學(xué)技術(shù)、芯片技術(shù)和嵌入式系統(tǒng)設(shè)計技術(shù)實現(xiàn)了安全可信的移動存儲。

第3篇:身份認證技術(shù)論文范文

[關(guān)鍵詞]網(wǎng)絡(luò)考試系統(tǒng):防舞弊;綜合機制

[中圖分類號]G40-057 [文獻標識碼]A [論文編號]1009-8097(2012)05-0102-06引言

考試是高校學(xué)生學(xué)業(yè)成績考核的主要手段,是對教師教學(xué)質(zhì)量和學(xué)生學(xué)習(xí)效果的一種檢驗方式,在提高教學(xué)質(zhì)量,提升人才培養(yǎng)水平等方面發(fā)揮重要作用。傳統(tǒng)考試多以紙筆考試為主,普遍存在教師閱卷工作量大、考試組織效率低、試卷無法長期保存等問題。為解決這些問題,網(wǎng)絡(luò)考試系統(tǒng)應(yīng)運而生。網(wǎng)絡(luò)考試系統(tǒng)是一種運用計算機網(wǎng)絡(luò)技術(shù)支持某個學(xué)科進行實時考試的計算機系統(tǒng),能夠?qū)荚嚾^程實施管理與控制,并通過自動組卷、自動改卷減輕教師的工作量,極大提高考試的組織效率。網(wǎng)絡(luò)考試憑借其高效、靈活、適應(yīng)性強等優(yōu)點,己逐漸成為傳統(tǒng)考試的有效補充。但是,隨著網(wǎng)絡(luò)考試的實施,針對網(wǎng)絡(luò)考試系統(tǒng)的舞弊行為屢禁不止,這不僅影響考試結(jié)果的真實性,也使考試的公平性受到質(zhì)疑,嚴重地敗壞網(wǎng)絡(luò)考試的聲譽。因此,要使網(wǎng)絡(luò)考試得到普遍認可,必須有效地解決網(wǎng)絡(luò)考試系統(tǒng)的防舞弊問題,保障考試公平。一 網(wǎng)絡(luò)考試防舞弊的基本思路和主要環(huán)節(jié)

1 防舞弊的基本思路

考試舞弊行為是指考生采取不正當手段,非法獲取高于自己實際水平分數(shù)的種種違紀活動。發(fā)生考試舞弊究其原因有三:一是作弊考生應(yīng)考動機不純,對優(yōu)秀考試成績極度渴望而采取不正當手段,另外,別人作弊我不作弊很吃虧的心理擴大了舞弊考生的數(shù)量;二是監(jiān)考失職,考場紀律不嚴;三是考場規(guī)章制度和技術(shù)保障機制有疏漏,讓舞弊者有機可乘。由此可見,為了有效防止考試舞弊行為,一方面要加強考試誠信教育,讓考生知道舞弊的危害,從主觀上杜絕舞弊行為;另一方面應(yīng)該嚴肅考試紀律,建立完善的考場規(guī)章制度和防舞弊技術(shù)機制,使個別舞弊企圖不得施展。

近年來,國內(nèi)學(xué)者在網(wǎng)絡(luò)考試防舞弊技術(shù)領(lǐng)域取得一些成果。胡世清等采用Silverlight技術(shù),通過改變試卷呈現(xiàn)方式與答題方式實現(xiàn)防舞弊。李益騏討論了身份認證與防范入侵措施、ASP腳本安全隱患的解決方案和試題庫加密算法。李美滿使用數(shù)據(jù)加密、數(shù)字簽名技術(shù)解決題庫收發(fā)雙方相互認證和防止泄密問題。徐巧枝等介紹了基于監(jiān)控和數(shù)字隱藏的防舞弊技術(shù)。付細楚等提出一種基于數(shù)據(jù)加密、數(shù)字簽名技術(shù)的考試成績多級安全保護模式。曾華軍等使用特殊的考試網(wǎng)關(guān)實現(xiàn)半封閉考試環(huán)境的安全機制。這些研究成果從不同視角和側(cè)重點研究考試防舞弊技術(shù)機制,為網(wǎng)絡(luò)考試系統(tǒng)的研制提供了寶貴經(jīng)驗。然而,網(wǎng)絡(luò)考試中間環(huán)節(jié)很多,運作流程復(fù)雜,單一技術(shù)手段難以防范各種舞弊行為。只有建立綜合防舞弊技術(shù)機制,運用多種技術(shù)手段對考試各環(huán)節(jié)進行全局的、系統(tǒng)的監(jiān)控與管理,才能收到良好的防范效果。

從哲學(xué)的角度看,時間、地點、人物和事件構(gòu)成人類活動的四個要素。與之相對應(yīng),網(wǎng)絡(luò)考試的實施過程也具有四個要素,即時間、位置、人員和行為:時間指人員使用計算機訪問網(wǎng)絡(luò)考試系統(tǒng)的時間;位置指人員使用的計算機的位置,可以用IP地址描述;人員指網(wǎng)絡(luò)考試涉及的人,包括考務(wù)員、監(jiān)考員、教師和考生;行為指人員對網(wǎng)絡(luò)考試系統(tǒng)實施的動作集合。對于具體的一次網(wǎng)絡(luò)考試來說,其實施過程各要素都有明確的取值范圍,其防舞弊的實質(zhì)內(nèi)容就是將實施過程各要素限制在允許的范圍之內(nèi)。針對實施過程各要素設(shè)計綜合防舞弊技術(shù)機制,有助于人們跳出被動式、亡羊補牢式的慣性思維,準確把握網(wǎng)絡(luò)考試防舞弊的基本方向。

2 防舞弊的主要環(huán)節(jié)

正式、嚴肅的網(wǎng)絡(luò)考試包括考前管理、考時管理和考后管理三個主要環(huán)節(jié),各環(huán)節(jié)的工作內(nèi)容和防舞弊任務(wù)均不相同:①考前管理環(huán)節(jié),其工作內(nèi)容包括生成考場名單、安排監(jiān)考教師和自動組卷等,其防舞弊任務(wù)是確保試題機密,考前試題外泄是對考試的最大干擾,必須采取措施堵住漏洞,使任何人都不可能獲悉試題;②考時管理環(huán)節(jié),其工作內(nèi)容包括考生在線考試和教師實時監(jiān)考等,其防舞弊任務(wù)是防止考生的現(xiàn)場舞弊行為,例如攜帶電子資料入考場、請人代考、偷窺答案、傳遞試題答案、考試過后泄露試題等;③考后管理環(huán)節(jié),其工作內(nèi)容包括保存原始答卷、自動評分、成績查詢等,其防舞弊任務(wù)是防止原始答卷和考試成績被篡改。二 綜合防舞弊網(wǎng)絡(luò)考試系統(tǒng)的設(shè)計

網(wǎng)絡(luò)考試系統(tǒng)采用B/S和C/S混合的分布式系統(tǒng)結(jié)構(gòu)(見圖1),其中試題服務(wù)器用于存放題庫、考生試題、考生答卷、考試成績等信息。在考試前、后階段,考務(wù)員、教師和考生通過Web瀏覽器使用網(wǎng)絡(luò)考試系統(tǒng)。網(wǎng)絡(luò)考試以開設(shè)考場的形式,在全封閉的局域網(wǎng)環(huán)境中進行。每個考場配備1臺教師機(教師監(jiān)考專用計算機)用于運行監(jiān)考軟件,配備多臺考生機(考生考試專用計算機)用于運行考生端軟件。教師機從試題服務(wù)器下載試題后,考場與外部網(wǎng)絡(luò)的連接被斷開??荚嚱Y(jié)束后,考場與外部網(wǎng)絡(luò)被重新連接,由教師機向試題服務(wù)器上傳考生答卷??荚嚻陂g,考生機只能與教師機進行數(shù)據(jù)通信,考生無法從外部網(wǎng)絡(luò)得到任何信息。

2 網(wǎng)絡(luò)考試系統(tǒng)的綜合防舞弊技術(shù)機制

網(wǎng)絡(luò)考試系統(tǒng)的防舞弊問題本質(zhì)上是一個網(wǎng)絡(luò)系統(tǒng)信息安全問題,許多防舞弊任務(wù)可以對應(yīng)到ISO定義的安全服務(wù)。網(wǎng)絡(luò)系統(tǒng)信息安全標準IS07498-2定義了五類安全服務(wù)(見表1),也稱為安全防護措施。

網(wǎng)絡(luò)考試系統(tǒng)并不需要提供所有的ISO安全服務(wù),例如對大多數(shù)網(wǎng)絡(luò)考試而言,“抗抵賴服務(wù)”不是必需的。但網(wǎng)絡(luò)考試中還存在一些ISO安全服務(wù)不能涵蓋的特殊安全問題,例如防止現(xiàn)場舞弊行為、試題服務(wù)器上的試題保密等。

網(wǎng)絡(luò)考試系統(tǒng)的綜合防舞弊技術(shù)機制擴展了ISO安全服務(wù)模型,具體包括7項防舞弊措施(見表2)。

第4篇:身份認證技術(shù)論文范文

關(guān)鍵詞: UnionID; 微信; OAuth; 服務(wù)門戶

中圖分類號:TP391 文獻標志碼:A 文章編號:1006-8228(2015)11-19-03

Abstract: Universities to provide the digital campus services based on Wechat public numbers, the intention is to provide convenient and individualized service for students, but is the result of various departments have created their own public numbers, a large number of and unrelated each other, let students at a loss. Through the UnionID mechanism, combined with OAuth authorization, interoperability between multiple public numbers can be achieved, that is: "once registration, unlimited roaming; once development, multiple applying", and a Wechat platform based "service portal" can be created to facilitate students to obtain the latest digital services, which provides a new way for the development of Wechat platform in universities.

Key words: UnionID; Wechat; OAuth; service portal

0 引言

隨著近年來我國信息化建設(shè)快速的從PC互聯(lián)網(wǎng)服務(wù)向移動互聯(lián)網(wǎng)演進,對高校信息化服務(wù)的方式與方法提出了更高的要求。

因此,高校在進行數(shù)字化校園改建或擴建之時,紛紛提出了建設(shè)集約化“服務(wù)廣場”、“服務(wù)中心”[5]的理念,同時制定了向移動互聯(lián)網(wǎng)遷移的建設(shè)目標,提出利用移動終端作為移動數(shù)字應(yīng)用服務(wù)的載體,在廣大師生群體中推廣。

隨著微信作為最大的移動IM平臺的迅速崛起,以及微信公眾號的推出和功能的不斷完善,利用微信公眾號向廣大師生提供服務(wù),迅速成為高校移動應(yīng)用服務(wù)的熱點,實踐證明也大受學(xué)生歡迎。但隨著高校眾多公眾號的紛紛申請上線,隨之帶來的問題就是各項服務(wù)被分割至各個公眾號內(nèi),學(xué)生為了使用相關(guān)服務(wù)不得不去一一添加眾多公眾號,并且逐一進行身份認證,這嚴重違背了原本以方便服務(wù)師生為目的開發(fā)初衷,也與學(xué)校建設(shè)“服務(wù)門戶”的理念相背離。

1 目前存在的問題

以微信公眾平臺為代表的lightAPP[4]類型的高校移動數(shù)字應(yīng)用的快速崛起,反映出其模式貼合了廣大師生對方便快捷的移動互聯(lián)網(wǎng)應(yīng)用服務(wù)的需求[1]。但是經(jīng)過一段時間的開發(fā)推廣,我們發(fā)現(xiàn)傳統(tǒng)的微信應(yīng)用模式有幾大弊端。

隨著微信公眾號申請認證部門的不斷增加,學(xué)校里的公眾號數(shù)目也在同步劇增。以我校為例,僅進行過騰訊官方認證的公眾號就有22個之多,尚不包括數(shù)目眾多的由各二級學(xué)院、學(xué)生社團所申請認證的微信號。傳統(tǒng)的開發(fā)模式是基于各自申請的公眾號基礎(chǔ)上開發(fā)相關(guān)功能,造成各項服務(wù)被割裂在各自封閉的公眾帳號內(nèi),學(xué)生必須關(guān)注相關(guān)帳號方才能使用相關(guān)服務(wù),造成相當不便。

由于大部份高校存在著多種身份認證體系,有傳統(tǒng)的一卡通帳號認證、學(xué)號密碼認證、業(yè)務(wù)系統(tǒng)密碼認證,也有近幾年興起的SSO認證、手機號+短信密碼認證等,各個公眾號帳號的認證方式也隨之多樣化,造成了學(xué)生每關(guān)注一個公眾帳號均必須認證一次,非常繁瑣。

2 利用UnionID機制解決問題

建立起一套“一次關(guān)注、單點綁定、全網(wǎng)漫游”的用戶認證及組件共享機制,實現(xiàn)學(xué)校師生關(guān)注并綁定任意一個公眾號,通過“微服務(wù)”平臺鏈接即可SSO免登錄進入并獲取其他所有關(guān)聯(lián)公眾號的信息服務(wù),對于解決困擾目前高校微信開發(fā)所面臨的窘境顯得尤為必要。

2.1 基于微信UnionID的學(xué)校微平臺技術(shù)架構(gòu)

以我校為例,為了徹底解決微信公眾平臺開發(fā)的無序、混亂的情況,以學(xué)校數(shù)字化校園數(shù)據(jù)中心及統(tǒng)一身份認證為核心,結(jié)合微信的UnionID機制,構(gòu)建起面向全校微信公眾號的微信服務(wù)平臺。

其整體技術(shù)架構(gòu)如圖1所示。

通過獲取用戶基本信息接口,開發(fā)者可通過OpenID來獲取用戶基本信息,如果開發(fā)者擁有多個公眾號,可通過UnionID機制在多公眾號之間進行用戶帳號互通。只要是同一個微信開放平臺帳號下的公眾號,用戶的UnionID是惟一的。換句話說,同一用戶,對同一個微信開放平臺帳號下的不同應(yīng)用,UnionID是相同的。

而傳統(tǒng)微信開發(fā)中的OpenID機制,每個微信用戶對應(yīng)每個公眾號只有惟一的OpenID,所以不同微信公眾號之間是無法共享用戶的基本信息,而UnionID機制,則完美的解決了這個問題。

2.2 UnionID開發(fā)過程及實現(xiàn)

進行基于微信UnionID機制開發(fā)必須經(jīng)過以下兩步。

第一步,注冊微信開放平臺http:///,并在管理界面綁定相關(guān)公眾帳號。

第二步,調(diào)用微信高級接口中的“獲取用戶基本信息”接口[2],獲得相關(guān)信息。

以我?!昂贾菘萍悸殬I(yè)技術(shù)學(xué)院圖書館”、“杭州科技職業(yè)技術(shù)學(xué)院”兩個微信號為例,對同一用戶的信息進行獲取對比。接口調(diào)用返回值如下:

經(jīng)過仔細比對,對同一用戶在不同公眾帳號下的openid是不一樣的,而unionid卻是一致的,這為打通全校公眾帳號,實現(xiàn)帳號漫游打下了基礎(chǔ)。

2.3 結(jié)合OAuth授權(quán)機制[3],實現(xiàn)基于微信的服務(wù)門戶

通過 UnionID打通多個多眾號之間帳戶信息,當用戶在提供“服務(wù)門戶”的公眾號中,點擊非關(guān)注公眾號提供的功能組件頁面,如果第三方公眾號已經(jīng)認證并開通了網(wǎng)頁授權(quán)認證接口,即OAuth機制,在登錄未關(guān)注公眾號的功能組件頁時,會出現(xiàn)相關(guān)的應(yīng)用授權(quán)界面。其在微信上的顯示界面如圖2所示。

若用戶同意授權(quán),則第三方公眾號即可在取得網(wǎng)頁access_token的同時,也同步獲取到了用戶的unionid。通過unionid,用微信提供的官方接口,就可獲得用戶的基本信息,完成使用第三方功能組件前的用戶身份認證及基本信息獲取。

通過UnionID機制和OAuth授權(quán)機制,結(jié)合學(xué)校數(shù)據(jù)中心及統(tǒng)一身份認證建設(shè),即可實現(xiàn)集成其他各公眾帳號功能組件的微信服務(wù)集成門戶。其最終展現(xiàn)結(jié)果如圖3所示。

3 結(jié)束語

本文介紹了微信UnionID機制的原理及開發(fā)流程,通過實例介紹并對比了傳統(tǒng)微信公眾號開發(fā)所使用的OpenID機制與UnionID機制的區(qū)別及不同。以我校微信服務(wù)集成門戶建設(shè)為例,介紹了通過UnionID機制并集成OAuth授權(quán)機制,來完成基于微信的服務(wù)集成門戶的建設(shè)。關(guān)于UnionID機制的應(yīng)用,本文僅研究了在微信公眾號開發(fā)方面的應(yīng)用。未來將進一步研究如何將UnionID機制與高校數(shù)字化校園數(shù)據(jù)中心建設(shè)及校園門戶建設(shè)相整合,進一步擴展其應(yīng)用的領(lǐng)域和范圍。更多功能及優(yōu)化將在今后作進一步研究。

參考文獻(References):

[1] 白浩,郝晶晶.微信公眾平臺在高校教育領(lǐng)域中的應(yīng)用研究[J].

中國教育信息化,2013.4:78

[2] 謝遠超.微信公眾號信息服務(wù)平臺的設(shè)計與實現(xiàn)[D].中山大

學(xué)碩士學(xué)位論文,2014.

[3] 易偉.微信公眾平臺服務(wù)號開發(fā):揭秘九大高級接口[J].機械

工業(yè)出版社,2014.

[4] 盧勝男.基于微信公眾平臺的微型移動課程的設(shè)計與研究[D].

上海師范大學(xué)碩士學(xué)位論文,2014.

第5篇:身份認證技術(shù)論文范文

關(guān)鍵詞: WPKI技術(shù);PKI技術(shù);移動支付平臺;移動電子商務(wù);無線網(wǎng)絡(luò)安全

引言

隨著手機、PDA(個人數(shù)字助理)及掌上電腦等無線終端的廣泛普及,移動電子商務(wù)已經(jīng)成為一種重要的電子商務(wù)模式。而隨著移動業(yè)務(wù)的不斷發(fā)展和廣泛普及,移動支付安全問題無疑成為制約其進一步發(fā)展的瓶頸。國內(nèi)目前的解決支付安全問題方案多種多樣,但大體可以分為: 定向支付、預(yù)付費支付、微支付、EMV支付、錢包支付、端到端安全支付等等形式。這些支付模式的共同特點是直接面向具體的業(yè)務(wù),適應(yīng)能力不強,不適合統(tǒng)一的支付模式[1]。

目前國際上很多國家都在研究WPKI技術(shù),WPKI領(lǐng)域的主流體系主要有如下幾種:1、WAP Forum制定的WAP PKI;2、日本NTT的I—Mode安全體系;3、美國PALM公司的安全體系[2]。這些組織的WPKI體系均有自己完整的協(xié)議體系,并且已經(jīng)在無線數(shù)據(jù)業(yè)務(wù)中得到了實際的應(yīng)用。國內(nèi)的一些廠商也在著手WPKI的研究和開發(fā),但在技術(shù)實現(xiàn)和應(yīng)用方面仍面臨著許多問題。

本論文提出使用ECC橢圓加密曲線算法和CA認證為基礎(chǔ)的WPKI移動支付平臺來保證支付的安全性,經(jīng)論證可以確保移動支付的安全。通過對WPKI系統(tǒng)模型的構(gòu)建和改進,我們從理論上分析得出WPKI技術(shù)可以很好地解決移動支付中存在的安全性問題、并可以有力的保證移動電子商務(wù)的支付安全。

1.PKI和WPKI

1.1 PKI

PKI是利用公鑰技術(shù)實現(xiàn)電子商務(wù)安全的一種體系,是一種基礎(chǔ)設(shè)施,網(wǎng)絡(luò)通訊、網(wǎng)上交易是利用它來保證安全的。PKI由公開密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機構(gòu)和關(guān)于公開密鑰的安全策略等基本成分共同組成。從某種意義上講,PKI包含了安全認證系統(tǒng),即CA/RA系統(tǒng)是PKI不可缺少的組成部分。

1.2 WPKI

WPKI即“無線公開密鑰體系”,它是將互聯(lián)網(wǎng)電子商務(wù)中PKI安全機制引入到無線網(wǎng)絡(luò)環(huán)境中的一套遵循既定標準的密鑰及證書管理平臺體系,用它來管理在移動網(wǎng)絡(luò)環(huán)境中使用的公開密鑰和數(shù)字證書,有效建立安全和值得信賴的無線網(wǎng)絡(luò)環(huán)境,其基本上是在無線環(huán)境上的PKI應(yīng)用的擴展。

1.3 兩者關(guān)鍵技術(shù)的對比

2.WPKI系統(tǒng)認證過程

2.1 WPKI認證過程概述

我們提出的WPKI技術(shù)采用的是ECC橢圓曲線加密算法作為其加密技術(shù)、采用的證書是壓縮的x.509標準證書,認證過程涉及移動終端用戶、WPKI證書、認證中心以及移動數(shù)據(jù)提供商。

無線終端通過注冊機構(gòu)向證書中心申請數(shù)字證書,證書中心經(jīng)過審核用戶身份后簽發(fā)數(shù)字證書給用戶,用戶將證書、私鑰存放在UIM卡中,無線終端在無線網(wǎng)絡(luò)上進行電子商務(wù)操作時利用數(shù)字證書保證端對端的安全。服務(wù)提供商則通過驗證用戶證書確定用戶身份,并提供給用戶相應(yīng)的服務(wù),從而實現(xiàn)電子商務(wù)在無線網(wǎng)絡(luò)上的安全運行。

2.2 WPKI系統(tǒng)認證詳細過程

2.2.1 ECC橢圓曲線加密算法

橢圓曲線密碼體制是由Neal Koblitz和Victor Miller在1985年分別獨立提出的,由于其所基于的數(shù)學(xué)問題的困難性被公認是目前已知的公鑰密碼體制當中每位提供加密強度最高的一種體制。數(shù)學(xué)解答越難的橢圓曲線離散對數(shù)問題(ECDLP)意味著越小的密鑰尺寸能產(chǎn)生等價的安全性。

橢圓曲線公鑰系統(tǒng)是代替RSA的強有力的競爭者。橢圓曲線加密方法與RSA方法相比,有以下的優(yōu)點:

(1)安全性能更高,如160位ECC與1024位RSA、DSA有相同的安全強度。

(2)計算量小,處理速度快。在私鑰的處理速度上,ECC遠比RSA、DSA快得多。

(3)存儲空間占用小,ECC的密鑰尺寸和系統(tǒng)參數(shù)與RSA、DSA相比要小得多,所以占用的存儲空間小得多。

(4)帶寬要求低使得ECC具有廣泛的應(yīng)用前景。

2.2.2 x.509證書標準

X.509是被廣泛使用的數(shù)字證書標準,是由國際電聯(lián)電信委員會為單點登錄和授權(quán)管理基礎(chǔ)設(shè)施制定的PKI標準[3]。X.509定義了(但不僅限于)公鑰證書、證書吊銷清單、屬性證書和證書路徑驗證算法等證書標準。X.509系統(tǒng)中,CA簽發(fā)的證書依照X.500的管理,綁定了一個唯一甄別名,可以包含多個字段和值,還可以支持別名。

2.2.3 WPKI系統(tǒng)構(gòu)成要素

類似于PKI系統(tǒng)的建設(shè),一個完整的WPKI系統(tǒng)的構(gòu)建也將圍繞著以下五大系統(tǒng)進行。

證書簽發(fā)機關(guān)(CA):CA即數(shù)字證書的申請及簽發(fā)機關(guān),CA必須具備權(quán)威性的特征。

數(shù)字證書庫:用于存儲已簽發(fā)的數(shù)字證書及公鑰,用戶可由此獲得所需的其他用戶的證書及公鑰。

密鑰備份及恢復(fù)系統(tǒng):為避免用戶丟失解密數(shù)據(jù)的密鑰,WPKI提供備份與恢復(fù)密鑰的機制。但密鑰的備份與恢復(fù)必須由可信的機構(gòu)來完成。

證書作廢系統(tǒng):證書作廢處理系統(tǒng)是WPKI的一個必備的組件。與日常生活中的各種身份證件一樣,證書有效期以內(nèi)也可能需要作廢,如是密鑰介質(zhì)丟失或用戶身份變更等。

應(yīng)用接口:一個完整的WPKI必須提供良好的應(yīng)用接口系統(tǒng),使各種各樣的應(yīng)用能夠以安全、一致、可信的方式與WPKI交互,確保安全網(wǎng)絡(luò)環(huán)境的完整性和易用性。

2.2.4 移動終端一次安全交易過程

移動終端用戶通過移動終端瀏覽網(wǎng)上信息,對于滿意的商品或者服務(wù)進行購買。在購買支付的過程中,會涉及用戶信息的交互,我們提出的WPKI系統(tǒng)主要是保證信息交互過程中的安性。通過ECC橢圓曲線加密算法傳遞交互信息、第三方認證中心提供信息認證,從而防止信息盜用和信息欺詐等的發(fā)生。如下圖,描述的就是WPKI認證的全過程:

當移動終端用戶在網(wǎng)上瀏覽到服務(wù)供應(yīng)商提供的服務(wù)或商品并決定購買支付時,移動終端用戶會向證書中心申請數(shù)字證書,證書認證中心也會簽發(fā)數(shù)字證書給移動終端同時它也會驗證證書、確認用戶,并將確認結(jié)果發(fā)給服務(wù)提供商,通過用戶終端UIM卡提供的證書中的私鑰信息與證書確認作對比,服務(wù)提供商可以確認用戶的真實身份。如果確認真實,則為用戶提供服務(wù),即用戶完成了一次支付過程;如果確認用戶信息為假或者無法確認用戶信息,則不為用戶提供任何服務(wù)。同時,在信息交互傳遞的過程中,WPKI系統(tǒng)采用了ECC橢圓加密算法來對傳輸過程進行加密,從而保證傳輸過程中信息不被非法用戶竊取或者監(jiān)聽利用。

3.WPKI系統(tǒng)分析

3.1 WPKI技術(shù)特性

3.1.1 大大縮短移動終端加密時間

WPKI采用優(yōu)化的ECC橢圓曲線加密和壓縮的X.509數(shù)字證書。ECC使用較短的密鑰就可以達到和RSA算法相同的加密強度。但由于智能卡受CPU處理能力和RAM大小的限制,因而采用一種運算量小同時能提供高加密強度的公鑰密碼體制對在智能卡上實現(xiàn)數(shù)字簽名應(yīng)用是至關(guān)重要的。ECC在這方面有很大優(yōu)勢,ECC可以簡化移動終端對支付過程中的加密處理過程,縮短加密時間。

3.1.2 技術(shù)的實現(xiàn)過程嚴密遵循既定標準

用WPKI來管理在移動網(wǎng)絡(luò)環(huán)境中使用的公開密鑰和數(shù)字證書,能有效地建立一個安全和值得信賴的無線網(wǎng)絡(luò)環(huán)境。WPKI是在無線環(huán)境下為各種應(yīng)用提供安全環(huán)境的,基于PKI標準的認證系統(tǒng),在不同的無線平臺上可能有不同的構(gòu)建形式。RA系統(tǒng)是與移動接口打交道的系統(tǒng)接口,負責接受終端用戶提出的證書請求并提供登陸和信息填報接口。在用戶填寫完畢后還負責將信息匯總傳遞給RA管理員。管理員在審核信息真實性的同時必須與HLR/VLR中的用戶身份識別信息相結(jié)合以決定是否受理該請求,如果接受則生成證書申請請求并傳遞給CA系統(tǒng),否則返回錯誤信息給用戶。

3.1.3 采用WTLS證書和移動證書標識

在WPKI機制下,數(shù)字證書非常重要。目前主要的數(shù)字證書解決方案有以下兩種:

(1)采用WTLS證書。WTLS證書的功能與X.509證書相同,但更小更簡化,以利于在資源受限的手持終端中處理。但所有證書必須含有與密鑰交換算法相一致的密鑰。除非特別指定,簽名算法必須與證書中密鑰的算法相同。

(2)采用移動證書標識。將一個標準的X.509證書與移動證書標識一一對應(yīng),并且在移動終端中嵌入移動證書標識,用戶每次只需要將自己的移動證書標識與簽名數(shù)據(jù)一起提交給對方,對方再根據(jù)移動證書標識檢索相應(yīng)的數(shù)字證書即可。

3.1.4 采用三種身份認證方式

WPKI需要進行通信雙方的身份認證,其提供了以下三種認證方式:

(1)第一種認證方式是WPKI中最簡單的一種,在這種認證中,移動客戶和服務(wù)器的證書都是可選的,因此在WAP設(shè)備和WAP網(wǎng)關(guān)之間是不需要認證的。這種工作方式可以保證通信過程中消息的機密性和完整性。

(2)第二種認證方式提供了移動設(shè)備對網(wǎng)關(guān)進行認證的功能,在這種模式下,對網(wǎng)關(guān)服務(wù)器的認證是強制性的,而對移動設(shè)備是不認證的,所以只是WAP設(shè)備對WAP網(wǎng)關(guān)的單向認證。

(3)第三種認證方式與Sign Text方式類似,WAP設(shè)備和WAP網(wǎng)關(guān)雙方都對對方的身份進行認證,不同之處是客戶端在WTLS對自身的認證時加入“挑戰(zhàn)”簽名字符串。

3.2 WPKI安全技術(shù)特性及其分析

3.2.1 數(shù)字證書的交換

在WPKI機制下,數(shù)字證書非常重要,但是由于無線信道和移動終端得限制,如何安全、便捷地交換用戶的數(shù)字證書,是WPKI所必須解決的問題。WPKI技術(shù)對此的解決方案是:當網(wǎng)關(guān)或者服務(wù)器擁有了證書一段時間后,那么出了證書以外還應(yīng)該包括一對在證書時間內(nèi)有效的密鑰,但是不同于簡單地發(fā)放一個一定期限的證書。而是可以發(fā)放一個新的短時間的證書,或者說可能是在一年的每一天發(fā)放一個24小時證書,那么服務(wù)器或者網(wǎng)關(guān)就使用那個短時間的證書來與客戶建立會話。

3.2.2 身份認證的實現(xiàn)

WPKI提供了三種身份認證方式。在無線支付領(lǐng)域,身份認證極其重要。身份認證可以保證信息的正確性、防止信息泄露和丟失、增加移動支付的安全。以WAP設(shè)備和WAP網(wǎng)關(guān)雙方是否需要認證分為三種認證方式,有效地確保了一種支付的安全。

4.結(jié)語

通過以上對WPKI系統(tǒng)模型的構(gòu)建和改進,我們從理論上分析得出WPKI技術(shù)可以很好地解決移動支付中存在的安全性問題、并可以有力的保證移動電子商務(wù)的支付安全。通過對比WPKI和PKI技術(shù)特性和對WPKI技術(shù)深入的分析,模擬了移動終端一次安全交易的全過程,分析了WPKI技術(shù)在此交易過程中如何保證交易安全性。由此提出了WPKI有助于解決移動支付領(lǐng)域存在的安全性問題,同時此問題的解決必將帶來移動支付領(lǐng)域的進一步發(fā)展。本論文研究的意義在于深入剖析WPKI技術(shù)特性以及如何保證移動支付安全性,為日后研究保證移動電子商務(wù)相關(guān)支付系統(tǒng)的安全性打下基礎(chǔ)。

[參考文獻]

[1]陳曉勤.移動支付改變生活:電信運營商的移動支付探索與實踐【M】.北京:人民郵電出版社,2008年11月.

[2]張巍,李濤,劉曉潔,等.認證中心CA的功能及其實現(xiàn)技術(shù)【J】.計算機工程與設(shè)計,2003(9):1134-1137.

[3]馮登國.公開密鑰基礎(chǔ)設(shè)施【M】.北京:人民郵電出版社,2001年1月.

[4]呂福春.WPKI技術(shù)模型研究探討【J】.福建工程學(xué)院.2008年第12期.

[5]徐曉寧 吳宇紅.WPKI關(guān)鍵技術(shù)的設(shè)計與實現(xiàn)【J】.西安電子科技大學(xué).2005年1月.

[6]肖德琴.電子商務(wù)安全保密技術(shù)與應(yīng)用【M】.廣州:華南理工大學(xué)出版社,2003.

[7]Carlisle Adams,Steve Lloyd.馮國登譯.公開密鑰基礎(chǔ)設(shè)施-概念、標準和實施【M】,北京:人民郵電出版社.2001.

[8]謝冬青 冷健.PKI原理與技術(shù)【M】.北京:清華大學(xué)出版社,2004.

第6篇:身份認證技術(shù)論文范文

論文摘要:介紹了數(shù)字圖書館門戶的概念,敘述了華中師范大學(xué)數(shù)字圖書館門戶的設(shè)計與構(gòu)建過程,并提出了下一步的建設(shè)規(guī)劃。

1數(shù)字圖書館門戶概述

1.1數(shù)字圖書館門戶的概念

關(guān)于什么是數(shù)字圖書館門戶已經(jīng)有了很多種解釋,總的說來,數(shù)字圖書館門戶就是信息資源與服務(wù)體系的集成系統(tǒng),它使得用戶可以通過一個界面友好的接口去無縫地訪問圖書館所有的信息資源和服務(wù)。數(shù)字圖書館門戶包括數(shù)字圖書館門戶網(wǎng)站和門戶構(gòu)建平臺,圖書館工作人員通過數(shù)字圖書館門戶構(gòu)建平臺??梢苑奖?、快捷地構(gòu)建個性化的門戶服務(wù)網(wǎng)站系統(tǒng),以全方位、個性化的方式向用戶提供綜合信息服務(wù)。門戶的關(guān)鍵特性包括:集成能力、個性化能力和定制能力。

1.2數(shù)字圖書館門戶的系統(tǒng)結(jié)構(gòu)

數(shù)字圖書館門戶的系統(tǒng)結(jié)構(gòu)由表示層、應(yīng)用層、協(xié)議層、數(shù)據(jù)層組成。

(1)表示層。用戶看到的門戶的直接界面,一般是基于Web的界面,如數(shù)字圖書館門戶網(wǎng)站。

(2)應(yīng)用層。由一些不同類型的應(yīng)用軟件組成,通常包括用戶身份認證系統(tǒng)、基于門戶的搜索引擎、資源及權(quán)限管理、個性化定制、虛擬咨詢等。應(yīng)用層提供數(shù)字圖書館門戶的所有服務(wù),如統(tǒng)一資源檢索、虛擬參考咨詢、電子期刊導(dǎo)航、重點學(xué)科導(dǎo)航等。

(3)協(xié)議層。負責應(yīng)用層與客戶端及應(yīng)用層與服務(wù)器之間的標準通信,如Z39.50,HTYP,OAI,OpenURL,ILP(1nterlibraryLoanProtoco1)等。

(4)數(shù)據(jù)層。包含門戶內(nèi)部可以容納的所有信息資源及外部資源的導(dǎo)航和鏈接,如電子期刊、電子圖書、數(shù)據(jù)庫、全文資料、圖像、音頻、視頻、遠程信息資源等。

l-3國內(nèi)外數(shù)字圖書館門戶的發(fā)展

國外數(shù)字圖書館建設(shè)起步早、起點高、發(fā)展快,早已形成規(guī)模,并產(chǎn)生了巨大的社會效益和經(jīng)濟效益。國際上對數(shù)字圖書館門戶的研究從20世紀90年代末開始,包括美國研究圖書館協(xié)會學(xué)術(shù)門戶項目(ARLScholarPortaI)、美國國家科學(xué)數(shù)字圖書館(NSDL)門戶項目、美國國會圖書館門戶項目以及康奈爾大學(xué)、波士頓大學(xué)圖書館門戶項目等。我國數(shù)字圖書館建設(shè)起步晚、起點不高.但發(fā)展較快,門戶技術(shù)在數(shù)字圖書館建設(shè)中的應(yīng)用日益廣泛。如廈門大學(xué)的知識資源港、北京航空航天大學(xué)利用TRS建立的門戶、清華大學(xué)圖書館以MetLib+SFX+EMS為基礎(chǔ)的數(shù)字圖書館整體解決方案,北京師范大學(xué)圖書館以MetLib和SFX為人口構(gòu)建的數(shù)字圖書館等。

2華中師范大學(xué)數(shù)字圖書館門戶建設(shè)需求分析

華中師范大學(xué)圖書館網(wǎng)站幾經(jīng)改版,每次都有新的面貌,但還是存在一些不足,主要表現(xiàn)在以下幾個方面:一是沒有統(tǒng)一的身份認證,無法對用戶訪問資源進行權(quán)限管理;二是沒有數(shù)據(jù)庫支持,無法實現(xiàn)站內(nèi)全文檢索;三是欄目設(shè)置不夠合理、簡潔;四是缺少資源導(dǎo)航及統(tǒng)一檢索,國內(nèi)外電子資源數(shù)量較多,但各種資源只是零散地存在著,每種資源都有自己的檢索界面和檢索方式,在電子資源組織管理方面還沒有規(guī)范化和標準化。

鑒于以上這些不足之處,我們需要建立數(shù)字圖書館門戶,實現(xiàn)基本的Web服務(wù)功能,嵌入全文搜索引擎,采用統(tǒng)一身份認證系統(tǒng),以讀者閱覽證作為用戶身份標志(匯文系統(tǒng)中有完整的用戶信息),處理好數(shù)字圖書館門戶網(wǎng)站與重點學(xué)科導(dǎo)航、電子期刊導(dǎo)航、統(tǒng)一檢索等系統(tǒng)的關(guān)系,真正實現(xiàn)“一站式”服務(wù)。

3華中師范大學(xué)數(shù)字圖書館門戶建設(shè)的實施

3.1網(wǎng)絡(luò)環(huán)境

良好的網(wǎng)絡(luò)環(huán)境是構(gòu)建數(shù)字圖書館的第一要素,它能保障信息的暢通與數(shù)據(jù)的安全。華中師范大學(xué)圖書館擁有較先進的網(wǎng)絡(luò)系統(tǒng)和服務(wù)器系統(tǒng),有效地保障了數(shù)字圖書館的信息環(huán)境需求。

華中師范大學(xué)數(shù)字圖書館門戶建設(shè)是數(shù)字圖書館一期工程的一部分,數(shù)字圖書館一期工程網(wǎng)絡(luò)平臺建設(shè)根據(jù)數(shù)字校園“網(wǎng)絡(luò)中心負責運營,圖書館負責資源組織”的布局思路,所需服務(wù)器、存儲設(shè)備和交換機全部部署在學(xué)校的網(wǎng)絡(luò)中心,包括8臺PC服務(wù)器和和l臺光纖存儲服務(wù)器。光纖存儲服務(wù)器上有6TB空間供數(shù)字圖書館使用。

3.2軟件平臺

通過項目招標,我們選用了TRS平臺及產(chǎn)品來構(gòu)建華中師范大學(xué)數(shù)字圖書館,具體模塊包括TRSserver(TRSCluster).TRSAdmin,TRSIDS,TRS Dprocessor,TRS W CM,TRS CDS,TRS Gateway,TRS W AS,TRSInforadar,TRsVRD,cAus統(tǒng)一檢索系統(tǒng)、cAus數(shù)字版權(quán)保護和CALIS教學(xué)參考系統(tǒng)。TRS數(shù)字圖書館軟件服務(wù)平臺從功能角度劃分為四大部分,包括數(shù)據(jù)加工、存儲、管理與檢索互動服務(wù)。

3-3數(shù)字圖書館門戶網(wǎng)站的頁面設(shè)計

數(shù)字圖書館門戶網(wǎng)站與其他類型的門戶網(wǎng)站,如商業(yè)門戶網(wǎng)站、新聞門戶網(wǎng)站等有很大的不同,其建設(shè)要突出數(shù)字圖書館的特點,即信息服務(wù)和數(shù)字資源建設(shè)。在頁面設(shè)計上要體現(xiàn)出高校圖書館博學(xué)、高雅的氣氛;在內(nèi)容結(jié)構(gòu)上必須簡潔明了.導(dǎo)航清晰,便于瀏覽。華中師范大學(xué)數(shù)字圖書館門戶網(wǎng)站將身份認證與注冊、統(tǒng)一檢索、電子資源導(dǎo)航、學(xué)科導(dǎo)航、站內(nèi)搜索、咨詢臺、教學(xué)參考置于首頁的主體部分。門戶首頁布局見圖I。

3.4數(shù)字圖書館門戶的功能

華巾師范大學(xué)圖書館現(xiàn)有網(wǎng)站基本上是一個靜態(tài)的網(wǎng)站,沒有數(shù)據(jù)庫支持,我們構(gòu)建了一個完整的數(shù)字圖書館門戶,提供以下的服務(wù)功能。

(1)應(yīng)用集成。在門戶中集成統(tǒng)一檢索、電子期刊導(dǎo)航、重點學(xué)科導(dǎo)航、虛擬參考咨詢等多種服務(wù)系統(tǒng)。圖書館門戶還進一步與數(shù)字校園門戶集成,實現(xiàn)了與數(shù)字校園門戶統(tǒng)一身份登錄的集成,通過數(shù)字校園門戶系統(tǒng)登錄的用戶可直接訪問數(shù)字圖書館系統(tǒng)資源,數(shù)字校園與數(shù)字圖書館之間通過數(shù)字校園數(shù)據(jù)交換系統(tǒng)實現(xiàn)用戶信息的同步訪問。門戶還通過與圖書館匯文系統(tǒng)進行集成.實現(xiàn)了數(shù)字圖書館用戶直接訪問匯文系統(tǒng)中我的圖書館、圖書借閱等功能。

(2)資源導(dǎo)航。數(shù)字圖書館門戶尤其注重資源整合與導(dǎo)航的能力,注重提供完善和精選的信息資源,用戶能通過門戶強大的導(dǎo)航功能方便快捷地獲取需要的信息。華中師范大學(xué)圖書館的電子期刊導(dǎo)航系統(tǒng)對館藏中外文數(shù)據(jù)庫中的電子期刊進行管理,建立導(dǎo)航庫,實現(xiàn)了電子期刊的檢索、瀏覽和直接訪問。重點學(xué)科導(dǎo)航系統(tǒng)包括科學(xué)社會主義、中國近現(xiàn)代史、漢語言文字學(xué)。此外,我們還建立了特色數(shù)據(jù)庫(中國農(nóng)村問題研究文獻數(shù)據(jù)庫)和華中師范大學(xué)博碩士學(xué)位論文庫。

(3)全文檢索。數(shù)字圖書館門戶可以實現(xiàn)網(wǎng)站的全文檢索,用戶輸入檢索詞后,檢索結(jié)果返回網(wǎng)站數(shù)據(jù)庫中包含檢索詞的任意字段的信息。

(4)個性化服務(wù)。數(shù)字圖書館門戶提供用戶注冊的功能,為注冊用戶提供個性化服務(wù)。用戶通過身份認證登錄門戶后,可進入個性化頁面修改個人信息、添加日志、查詢匯文系統(tǒng)中的個人信息、定制人圖書館,如定制數(shù)據(jù)庫列表、電子期刊列表、網(wǎng)絡(luò)資源等。

(5)統(tǒng)一身份認證。采用TRSIDS統(tǒng)一身份管理系統(tǒng),集成TRSWCM,TRSCDS,TRSDpaper,匯文系統(tǒng),CALLS統(tǒng)一檢索系統(tǒng)等,實現(xiàn)數(shù)字圖書館的一站式身份管理。在門戶和門戶巾的各類資源及應(yīng)用巾.實現(xiàn)統(tǒng)一認證和單點登錄。若用戶沒有經(jīng)過統(tǒng)一認證,則用戶在訪問其他專用系統(tǒng)時(如OPAC、參考咨詢、統(tǒng)一檢索等)都需要分別登錄。而用戶在門戶通過統(tǒng)一認證登錄后,不僅能直接看到自己在各個應(yīng)用中的個性化信息,還能直接進入這些系統(tǒng),無需再次登錄。采用用戶認證的方式可以限制非法用戶對授權(quán)資源的訪問.從而有效地保護相關(guān)資源擁有者的合法權(quán)益,也便于更好地為不同的用戶提供不同級別的內(nèi)容和服務(wù)。

(6)網(wǎng)站管理。采用TRSWCM內(nèi)容管理協(xié)作平臺,為門戶網(wǎng)站提供整體解決方案,構(gòu)成一個完整的數(shù)據(jù)信息采集、加工、的系統(tǒng)應(yīng)用平臺,實現(xiàn)網(wǎng)站信息的分布式采集、分級編輯、審核和。工作人員能通過基于瀏覽器工作界面的TRSWCM內(nèi)容管理平臺的采編模塊,直接進行稿件的、查詢、處理等管理工作。TRSWCM內(nèi)容管理平臺的模塊則實時地將采編模塊處理過的信息按照模版規(guī)則生成網(wǎng)站的頁面文件系統(tǒng),然后上傳到Web服務(wù)器上,實現(xiàn)網(wǎng)站信息的更新。

(7)虛擬參考咨詢。采用TRS虛擬參考咨詢系統(tǒng),實現(xiàn)虛擬參考咨詢服務(wù)。用戶可以通過各種方式(檢索知識庫,Email,Web表單,在線實時交流等)進行咨詢,系統(tǒng)可以對咨詢活動進行統(tǒng)一管理、存檔,最終納入一個可供檢索的知識庫。用戶可以在客戶端實現(xiàn)咨詢問題的提交、實時咨詢、信息的瀏覽檢索和個人信息的管理等。咨詢員和超級管理員可以通過管理端進行咨詢處理、資料管理和系統(tǒng)設(shè)置。此系統(tǒng)底層采用TRS數(shù)據(jù)庫,提供FAQ及FAQ的全文檢索。

(8)統(tǒng)一檢索。采用CALLS統(tǒng)一檢索系統(tǒng)提供中外文數(shù)據(jù)庫一站式檢索服務(wù)。該系統(tǒng)針對異構(gòu)數(shù)字資源,能夠通過多種方式整合盡可能多的電子資源數(shù)據(jù)庫,可以把用戶一次提交的檢索請求同時發(fā)往選定的多個資源庫,為用戶提供一種更好的整合檢索服務(wù),從而提高資源的利用率和用戶的檢索效率。

第7篇:身份認證技術(shù)論文范文

關(guān)鍵詞:無線網(wǎng)絡(luò);網(wǎng)絡(luò)安全

中圖分類號:TN711 文獻標識碼:A 文章編號:

前言

伴隨著因特網(wǎng)蓬勃發(fā)展的步伐,另一種聯(lián)網(wǎng)的方式已經(jīng)悄悄茁壯成長,這就是無線網(wǎng)絡(luò)。無線通信一直是人們夢寐以求的技術(shù)。借助無線網(wǎng)絡(luò)技術(shù),我們終于可以擺脫那些煩人的電纜和網(wǎng)線,無論何時何地,都可以輕松地接入互聯(lián)網(wǎng)。但是由于標準、可靠性、安全性等原因,無線網(wǎng)絡(luò)至今不能象有線網(wǎng)絡(luò)那樣普及。特別是安全性和有線網(wǎng)絡(luò)還存在很大距離。為了適應(yīng)無線網(wǎng)絡(luò)發(fā)展的需要,各種安全技術(shù)也應(yīng)運而生。其中許多技術(shù)都是借鑒了成熟的有線網(wǎng)絡(luò)安全技術(shù),并針對無線環(huán)境進行了優(yōu)化。

一、無線網(wǎng)絡(luò)安全發(fā)展概況

無線網(wǎng)絡(luò)802.11 公布之后,迅速成為事實標準。遺憾的是,從它的誕生開始,其安全協(xié)議WEP 就受到人們的質(zhì)疑。美國加州大學(xué)伯克利分校的Borisov,Goldberg 和Wagner 最早指出了WEP 協(xié)議中存在的設(shè)計失誤,接下來信息安全研究人員發(fā)表了大量論文詳細討論了WEP 協(xié)議中的安全缺陷,并與工程技術(shù)人員協(xié)作,在實驗中破譯了經(jīng)WEP 協(xié)議加密的無線傳輸數(shù)據(jù)?,F(xiàn)在,能夠截獲無線傳輸數(shù)據(jù)的硬件設(shè)備己經(jīng)能夠在市場上買到,能夠?qū)λ孬@數(shù)據(jù)進行解密的黑客軟件也已經(jīng)能夠在因特網(wǎng)上下載。WEP 不安全已經(jīng)成一個廣為人知的事情,人們期待WEP 在安全性方面有質(zhì)的變化,新的增強的無線網(wǎng)絡(luò)安全標準應(yīng)運而生。我國從2001 年開始著手制定無線網(wǎng)絡(luò)安全標準,經(jīng)過西安電子科技大學(xué)、西安郵電學(xué)院、西電捷通無線網(wǎng)絡(luò)通信有限公司等院校和企業(yè)的聯(lián)合攻關(guān),歷時兩年多制定了無線認證和保密基礎(chǔ)設(shè)施WAPI,并成為國家標準,于2003 年12 月執(zhí)行。WAPI 使用公鑰技術(shù),在可信第三方存在的條件下,由其驗證移動終端和接入點是否持有合法的證書,以期完成雙向認證、接入控制、會話密鑰生成等目標,達到安全通信的目的。WAPI 在基本結(jié)構(gòu)上由移動終端、接入點和認證服務(wù)單元三部分組成,類似于802.11 工作組制定的安全草案中的基本認證結(jié)構(gòu)。同時我國的密碼算法一般是不公開的,WAPI 標準雖然是公開的,然而對其安全性的討論在學(xué)術(shù)界和工程界目前還沒有展開。增強的安全草案也是歷經(jīng)兩年多時間定下了基本的安全框架。其間每個月至少召開一次會議,會議的文檔可以從互聯(lián)網(wǎng)上下載,從中可以看到一些有趣的現(xiàn)象,例如AES-OCB 算法,開始工作組決定使用該算法作為無線網(wǎng)絡(luò)未來的安全算法,一年后提議另外一種算法CCMP作為候選,AES-OSB 作為缺省,半年后又提議CCMP 作為缺省,AES-OCB 作為候選,又過了幾個月,干脆把AES-OCB 算法完全刪除,只使用CCMP 算法作為缺省的未來無線網(wǎng)絡(luò)的算法。

二、無線網(wǎng)絡(luò)中的不安全因素

無線網(wǎng)絡(luò)除了具有有線網(wǎng)絡(luò)所存在的不安全因素外, 還存在許多其他不安全因素。

1、信息篡改

信息篡改是指攻擊者將竊聽到的信息進行修改( 如刪除或替代部分或全部信息) 之后再將信息傳給原本的接受者, 其目的有兩種: 惡意破壞合法用戶的通信內(nèi)容, 阻止合法用戶建立通信鏈接; 將修改的消息傳給接收者, 企圖欺騙接受者相信修改后的消息。信息篡改攻擊對物理網(wǎng)絡(luò)中的信令傳輸構(gòu)成很大的威脅。

2、服務(wù)后抵賴

服務(wù)后抵賴是指交易雙方中的一方在交易完成后否認其參與了此次交易。這種威脅在電子商務(wù)中常見。

3、無線竊聽

在無線網(wǎng)絡(luò)中所有的通信內(nèi)容都是通過無線信道傳送的, 任何具有適當無線設(shè)備的人均可通過竊聽無線信道而獲得所需信息。對于無線局域網(wǎng)其通信內(nèi)容更容易被竊聽, 因為它們都工作在全球統(tǒng)一公開的工業(yè)、科學(xué)和醫(yī)療頻帶, 雖然無線局域網(wǎng)通信設(shè)備的發(fā)射功率不是很高, 通信距離有限, 但實驗證明通過高增益天線在其規(guī)定的通信距離外仍可有效的竊聽。

4、假冒攻擊

某個實體家裝成另外一個實體訪問無線網(wǎng)絡(luò), 即所謂的假冒攻擊。這是侵入某個安全防線的最為通用的方法。在無線網(wǎng)絡(luò)中, 移動站與網(wǎng)絡(luò)控制中心及其他移動站之間不存在任何固定的哦物理鏈接, 移動站必須通過無線信道傳輸其身份信息, 身份信息在無線信道中傳輸時可能被竊聽, 當攻擊者截獲一合法用戶的身份信息時, 可利用該用戶的身份侵入網(wǎng)絡(luò), 這就是所謂的身份假冒攻擊。在所謂不同的無線網(wǎng)絡(luò)中, 身份假冒攻擊的目標不同, 在移動通信網(wǎng)絡(luò)中, 其工作頻帶是收費的, 移動用戶必須付費才能通話, 攻擊者假冒合法用戶主要是逃避付費。而無線局域網(wǎng)中, 工作頻帶是免費的, 網(wǎng)絡(luò)資源和信息是不公開的、收費的, 只有合法用戶才能訪問這些信息攻擊者假冒合法用戶主要是非法訪問網(wǎng)絡(luò)資源。

5、重傳攻擊

重傳攻擊是指攻擊者將竊聽到的有效信息經(jīng)過一段時間后, 在傳給信息的接受者。其目的是利用曾經(jīng)有效的信息在改變了的情形下達到同樣的目的。值得一提的是無線移動設(shè)備還存在失竊的威脅, 移動設(shè)備的功能不斷增強, 它不僅是一個通信工具, 還存儲著一些用戶信息, 防止移動設(shè)備中秘密信息的失竊也是很重要的。

三、無線網(wǎng)絡(luò)中的安全機制

無線網(wǎng)絡(luò)中的安全業(yè)務(wù)都需要相應(yīng)的安全機制來保證, 用加密技術(shù)實現(xiàn)保密性業(yè)務(wù), 通過訪問控制實現(xiàn)身份認證業(yè)務(wù), 用消息認證機制實現(xiàn)完整性業(yè)務(wù), 用數(shù)字簽名技術(shù)實現(xiàn)不可否認性業(yè)務(wù)。

1、加密機制

保密性業(yè)務(wù)是通過加密技術(shù)實現(xiàn)的, 加密是一種最基本的安全機制, 加密過程如圖1 所示:

當加密密鑰不等于解密密鑰, 即系統(tǒng)中每個用戶擁有兩個密鑰( 公開密鑰和秘密密鑰) , 則稱其為非對稱密碼系統(tǒng)或公鑰密碼系統(tǒng)。任何人都可用一個用戶的公開密鑰將信息加密后傳給該用戶, 只有該用戶才能用其秘密密鑰解密, 其他人因不知道秘密密鑰而不能解密。公鑰密碼算法復(fù)雜, 因而不適合資源受限的無線通信設(shè)備, 但由于其不需要通信雙方共享任何秘密, 在密鑰管理方面有很大的優(yōu)越性。

2、消息認證機制

完整檢測技術(shù)用于提供消息認證, 防止消息被篡改。典型的完整性檢測技術(shù)是消息認證碼, 其工作原理如圖2所示。

3、身份認證機制

身份認證技術(shù)提供通信雙方的身份認證, 以防身份假冒。它通過檢測證明方擁有什么或知道什么來確認證明方的身份是否合法。密碼學(xué)中的身份認證主要基于驗證明方是否知道某個秘密( 如證明方與驗證方之間共享的秘密密鑰, 或證明方自己的私有密鑰) , 基于共享秘密的身份認證方案建立在運算簡單的單密鑰密碼算法和雜湊函數(shù)基礎(chǔ)上, 適合無線通信網(wǎng)絡(luò)中的身份認證。

4、不可否認機制

數(shù)字簽名用于提供不可否認性的安全機制, 防止抵賴。數(shù)字簽名有以下優(yōu)點: 采用電子形式, 容易在網(wǎng)絡(luò)中傳輸; 只有知道秘密密鑰的人才能生成簽名, 因而很難偽造;可以對整個消急進行簽名, 簽名后消息不可更改。數(shù)字簽名大多基于公鑰密碼技術(shù), 在公鑰密碼系統(tǒng)中, 用戶的公開密鑰向所有人公開, 秘密密鑰只有自己知道, 用戶用自己的秘密密鑰對消急或消息的雜湊值簽名,然后將消息及簽名一起傳給驗證方, 驗證方利用簽名者的公開密鑰就可以鑒別簽名的真?zhèn)?。因只有簽名者知道自己的秘密密鑰, 只有他才能形成數(shù)字簽名, 故簽名者一旦對某個消息簽名就無法抵賴。

結(jié)束語

可以預(yù)見,隨著無線網(wǎng)絡(luò)安全事件的不斷出現(xiàn),能否為用戶提供優(yōu)質(zhì)的安全服務(wù), 將成為無線網(wǎng)絡(luò)運營商在商業(yè)競爭中能否取勝的關(guān)鍵?;诎踩?wù)的整體安全解決方案,將成為未來

網(wǎng)絡(luò)信息安全的主流發(fā)展方向。

參考文獻

第8篇:身份認證技術(shù)論文范文

[關(guān)鍵詞]環(huán)境建設(shè);資源建設(shè);身份認證;單點登錄

[中圖分類號]G40-057 [文獻標識碼]A [論文編號]1009―8097(2011)09―0067―03

近年來隨著高等教育規(guī)模的不斷擴大,各高校在教育技術(shù)上的投入也在不斷加大。這些教育投入有兩個方向:一是在教學(xué)的信息化硬件環(huán)境方面;二是在建設(shè)網(wǎng)絡(luò)教學(xué)平臺及平臺中運行的軟件資源方面。但目前在高校的教育技術(shù)部門中,這兩個方面的投入不管在資金上,還是在人員安排上,都是兩個獨立運作的部分。在其建設(shè)內(nèi)容上相互之間基本不存在交集,在具體工作中也很少合作與配合。相反,二者在教育技術(shù)投入的分配方面還會存在一定的競爭。隨著教育技術(shù)信息化建設(shè)的不斷深入,這種矛盾會日漸突出,成為了制約教育技術(shù)全面建設(shè)的一個關(guān)鍵性瓶頸。“如何突破這個瓶頸,使教育技術(shù)中的環(huán)境建設(shè)與資源建設(shè)能夠相互促進、協(xié)調(diào)發(fā)展”這是擺在所有高校教育技術(shù)工作者面前的一個時代課題,需要采用一種創(chuàng)新式的發(fā)展思路來思考這種關(guān)系。

一 教學(xué)環(huán)境建設(shè)遇到了滯后教學(xué)需求的困境

目前在高校的教育技術(shù)環(huán)境建設(shè)中,普遍存在著只注重硬件環(huán)境方面建設(shè)而忽略資源環(huán)境建設(shè)的問題。校方主要關(guān)心的是建設(shè)了多少間多媒體課室;裝了多少臺投影機;是否實現(xiàn)了無線網(wǎng)絡(luò)通信等面上的問題。但這表面上的建設(shè)工作成果并不能代表環(huán)境建設(shè)質(zhì)量的全部內(nèi)涵,其實我們應(yīng)該更多地以“教學(xué)的需求是不是得到了滿足”作為建設(shè)成果的標準。要看這種環(huán)境上的改變是否解決了師生在教學(xué)過程中所遇到的障礙,是否更有利于信息化教學(xué)的開展。換句話來說,就是教學(xué)需求是環(huán)境建設(shè)的根本出發(fā)點。應(yīng)該說我們已經(jīng)走過了教學(xué)信息化的最初階段(教學(xué)內(nèi)容數(shù)字化的階段),一些基本的多媒體設(shè)備設(shè)施(如投影機、計算機、展臺、DVD機等)已經(jīng)成熟和完善。新一代的學(xué)科教師也都具備了較高的信息素養(yǎng),他們會對所使用的教學(xué)條件在教育技術(shù)應(yīng)用方面提出更高的要求。

1 教學(xué)需要的是易用好用的教學(xué)環(huán)境,功能性并不是唯一的需求

教師們希望這些多媒體設(shè)備可以方便使用,用起來得心應(yīng)手,多媒體課室環(huán)境建設(shè)中的中央控制系統(tǒng)就是很好的例子。一個優(yōu)秀的中控系統(tǒng)除了性能良好和質(zhì)量過關(guān)外,更多應(yīng)該體現(xiàn)出其產(chǎn)品設(shè)計上的人性化。教師是設(shè)備的直接使用者,所以中控的面板設(shè)計不能太過繁雜。教師在上課過程中,可通過桌面控制面板對投影機、電動幕、計算機、功放、DVD機、錄音卡座、展臺等進行控制切換。通過簡單的操作就可以方便直觀地實現(xiàn)多媒體教學(xué),把教師從疲于應(yīng)付眾多電教設(shè)備的狀態(tài)中解放出來,把精力集中到課程教學(xué)過程中去。這既是教師所期望的,也應(yīng)該是教學(xué)環(huán)境建設(shè)者的初衷。

2 教學(xué)環(huán)境應(yīng)該與教學(xué)資源緊密地連接在一起

教師需要把備課準備的教學(xué)內(nèi)容無縫地連接到課堂教學(xué),中間不能存在太多的信息中轉(zhuǎn)和傳播上的阻隔。例如在實際教學(xué)中,常常會出現(xiàn)教師因為u盤在多媒體教學(xué)中讀不出來而影響了當天課程的情況。如果在多媒體教室中計算機上為教師提供網(wǎng)絡(luò)u盤的功能,也許會減少這種情況的發(fā)生。網(wǎng)絡(luò)u盤可以通過基于B/S架構(gòu)的資源管理平臺捆綁在講臺計算機的登錄界面上,教師登錄后電腦的桌面上會馬上顯示出屬于自己的教學(xué)資源。這些資源是教師利用自己的帳號通過IE瀏覽器在家里和辦公室上傳到學(xué)校的資源服務(wù)器中來的。授課時,同樣通過該賬號登錄操作系統(tǒng)實現(xiàn)的單點登錄,直接訪問到自己帳號下的資源。這種訪問是直接推到教師面前的,避免了使用u盤攜帶課件所帶來頻繁的拷貝、刪除、病毒、故障等麻煩。這種網(wǎng)絡(luò)u盤的功能,形式上只是一種功能比較單一的網(wǎng)絡(luò)小應(yīng)用,但通過它與教學(xué)硬件環(huán)境實現(xiàn)的功能捆綁卻能為教師解決了教學(xué)信息“最后一米”的傳輸難題,為其掃清了教學(xué)資源應(yīng)用中的障礙。

二 把資源建設(shè)直接推送到教學(xué)應(yīng)用環(huán)境中去

從資源建設(shè)的角度思考,也同樣地離不開環(huán)境建設(shè)的配合與支持。目前的網(wǎng)絡(luò)教學(xué)資源開發(fā)建設(shè)已經(jīng)結(jié)束了從空白起步的初級階段,國內(nèi)外已經(jīng)開發(fā)出了一定的數(shù)量的具有相當技術(shù)水平的可以滿足教學(xué)需求的教學(xué)平臺和各學(xué)科的教學(xué)資源?,F(xiàn)在資源建設(shè)的重點應(yīng)該轉(zhuǎn)變成教學(xué)資源應(yīng)用的問題。把已經(jīng)建設(shè)好教學(xué)資源應(yīng)用到教學(xué)第一線去,在應(yīng)用中進一步完善系統(tǒng)的教學(xué)功能,是目前階段的資源建設(shè)的重點。下面從兩個應(yīng)用的實例來看這種綜合性建設(shè)的優(yōu)勢。

教育技術(shù)資源建設(shè)中所開發(fā)的資源錄制平臺,可以實現(xiàn)對多個教室的遠程集中錄制的設(shè)置和控制功能,對任意教室的視頻及計算機的VGA畫面進行預(yù)覽,手動控制云臺,手動錄制或者自動錄制,實現(xiàn)跨教學(xué)樓、跨校區(qū)的分區(qū)域、分級錄制管理。其導(dǎo)播功能允許通過遠程來操作完成控制,在任何情況下都可以不在現(xiàn)場操作,也不需增加任何硬件輔助來實現(xiàn)就可以實現(xiàn)多個錄制課室的混合編輯。而不需要集中在一起,大大提高了采編播的靈活性和綜合效率。這樣的錄制平臺就是資源開發(fā)與環(huán)境硬件綜合建設(shè)的成果。直接利用多媒體課室中的攝像設(shè)備,只要在建設(shè)環(huán)境的安防監(jiān)控子系統(tǒng)的設(shè)計中預(yù)留出這方面應(yīng)用和相關(guān)的音視頻接口,只需要添加部分較專業(yè)的攝錄像設(shè)備(攝像機、云臺、通信線路等),就可以為教學(xué)資源的積累提供最佳的音頻制作環(huán)境,還原出比專業(yè)的演播室更真實的教學(xué)效果,同時也節(jié)省了在轉(zhuǎn)播室中專門組織錄制的成本。這種效果是在教學(xué)環(huán)境與資源建設(shè)相互配合的條件下實現(xiàn)的,可見兩個系統(tǒng)的建設(shè)是一個綜合性工程。

前面提到的網(wǎng)絡(luò)u盤的應(yīng)用就是推送教學(xué)應(yīng)用到環(huán)境中去的一個很好的例子。把網(wǎng)絡(luò)教學(xué)平臺推送到教學(xué)環(huán)境的第一線會產(chǎn)生意想不到的教學(xué)效果,從環(huán)境建設(shè)與資源應(yīng)用兩個方面同時推動信息化建設(shè)的發(fā)展。具體的做法是對網(wǎng)絡(luò)教學(xué)平臺采用單點登錄,把網(wǎng)絡(luò)教學(xué)平臺與多媒體課室的中央控制單元整合到該單點登錄的界面中來,當教師打開多媒體課室設(shè)備的同時,其教學(xué)計算機上就會自動把完成登錄的網(wǎng)絡(luò)教學(xué)平臺的Web界面并在客戶端軟件中顯示出來。備課用的多媒體課件、錄制的精品課程、網(wǎng)絡(luò)上收集的各種與課程相關(guān)的資源……都會分門別類地“推送”到任課教師的面前,極大地方便教師的使用。為網(wǎng)絡(luò)資源教學(xué)應(yīng)用跨過“最后一米”的距離。只有方便了教師的使用,讓他們在實際的教學(xué)中充分體驗了教學(xué)平臺的功能,讓他們真正體會到通過教學(xué)系統(tǒng)可以實現(xiàn)與學(xué)生之間暢通的網(wǎng)絡(luò)溝通,才可能讓他們自發(fā)地投入到這場教學(xué)改革的實際應(yīng)用中來,并且在無意識間

帶動了他們身邊的教師和學(xué)生,通過這些教學(xué)系統(tǒng)參與到教學(xué)資源的建設(shè)中來,進一步豐富網(wǎng)絡(luò)上的教學(xué)資源。從基礎(chǔ)上推動了教學(xué)環(huán)境建設(shè),提升了環(huán)境與資源兩者整合度,這種教學(xué)活動的轉(zhuǎn)變就可以良性地循環(huán)起來,即互為發(fā)展的動力又互為展示的舞臺。

三 引進創(chuàng)新思維,應(yīng)用新技術(shù)促進環(huán)境與資源建設(shè)協(xié)調(diào)發(fā)展

教學(xué)環(huán)境的建設(shè)與教學(xué)資源的建設(shè)在系統(tǒng)化綜合性的指導(dǎo)思想下進行可以發(fā)揮出更高的建設(shè)效率,同時產(chǎn)生更佳的建設(shè)效果。分析其中的幾個主要的環(huán)節(jié)可以找出有兩個技術(shù)從中扮演了關(guān)鍵性的角色。一個是環(huán)境建設(shè)中用到的身份認證技術(shù),另一個是資源建設(shè)中的單點登錄技術(shù)(SSO)。

1 身份認證技術(shù)

目前比較成熟的身份認證技術(shù)主要有密碼認證、PIN碼認證、智能卡、生物識別、CHAP認證、雙因素認證等多種認證體系。不同安全級別的認證方法有很大區(qū)別,安全性是認證方式的最重要的考慮因素,但并不是全部。根據(jù)不同的應(yīng)用場景,還需要綜合關(guān)注其兼容性、方便性,以及使用成本等因素。正如在高校的教學(xué)環(huán)境中的身份認證的安全性就不是唯一重要考慮要素。因為過高的安全性一定會犧牲系統(tǒng)使用的方便性和提高系統(tǒng)的復(fù)雜度,這樣一方面會讓教師在使用教學(xué)系統(tǒng)時因為繁瑣的身份認證程序,影響到其使用這套系統(tǒng)的用戶體驗,從而降低了他進一步使用后臺支撐的資源平臺的熱情,所以系統(tǒng)身份認證的便利性是方案制訂的一個重要原則。而且這種趨勢隨著IT產(chǎn)品普及導(dǎo)致的設(shè)備成本降低而越趨明顯。在安防方面的設(shè)計要求降低了,同時教學(xué)系統(tǒng)的開放度也比以前有了很大的提高,在教學(xué)環(huán)境中如果有太多太復(fù)雜的身份認證會使系統(tǒng)的使用效果大打折扣。簡單的密碼認證雖然安全級別不高,但因為不用隨身攜帶卡片和鑰匙,可以減少教師上課前打不開系統(tǒng)的事故發(fā)生機率。但這種方法也存在忘記密碼和過于簡單容易被他人盜用的弊端。智能卡方式安全度較高,但容易丟失和忘記攜帶,從而存在較大的引發(fā)教學(xué)事故的風險。相比老一代的接觸式IC卡,射頻技術(shù)的智能卡更方便,系統(tǒng)可靠性更強,是目前智能卡應(yīng)用的主流,但成本相對較高。生物識別技術(shù)盡管其安全度較高,不用記密碼和攜帶卡片,但由于過于復(fù)雜的結(jié)構(gòu)和個人生物信息的隱私性,也很難在教學(xué)系統(tǒng)推廣應(yīng)用??紤]到教學(xué)系統(tǒng)追求便易性的特點,像手機信息、藍牙連接、WIFI、汽車中的無匙進入技術(shù)、語音識別等都可以成為主流的身份認證技術(shù),在未來的教學(xué)環(huán)境中得到應(yīng)用。

2 使用統(tǒng)一的教學(xué)環(huán)境與教學(xué)資源SSO

從前面提到的幾個實例中我們看到了另一種技術(shù)的應(yīng)用前景,那就是單點登錄技術(shù)(SSO)。單點登錄基本定義是:用戶只需登錄一次,即可通過單點登錄系統(tǒng)訪問后臺的多個應(yīng)用系統(tǒng),無需重新登錄后臺的各個應(yīng)用系統(tǒng)。如圖1所示,SS0架構(gòu)的系統(tǒng)可以實現(xiàn)B/S和C/S中的不同登錄方式達到同樣的登錄效果,只要做過一次的身份認證就可以穿行于系統(tǒng)中的各個功能模塊中,無需重復(fù)登錄卻可以保證登錄的有效性和安全性,為日后系統(tǒng)的擴展預(yù)留了接口。這種類型的SSO目前在市場在已經(jīng)有很多成熟的應(yīng)用,主要是實現(xiàn)門戶網(wǎng)站、電子郵件、論壇和各種網(wǎng)絡(luò)應(yīng)用之間的單點登錄。這與這里提到的SSO有所不同,教學(xué)環(huán)境系統(tǒng)中SSO的入口是放在打開和登錄多媒體教學(xué)系統(tǒng),也就是以多媒體中控平臺的硬件作為SSO的入口,而不是普通環(huán)境中只是針對軟件子系統(tǒng)的SSO,大多數(shù)情況下所使用的主登錄環(huán)境是一個純粹的硬件系統(tǒng)平臺,目前使用這種軟硬件混合SSO方式的計設(shè)還比較少見。具體的身份驗證方式就是上文所提到的密碼認證、智能卡認證、生物認證等多種方式,不管是哪一種方式,通過了SSO服務(wù)器認證后的用戶就可以了自由地訪問校園網(wǎng)上的教學(xué)平臺和其中的教學(xué)資源了。

第9篇:身份認證技術(shù)論文范文

論文摘 要:對于圖書館服務(wù)而言,VPN正在得到廣泛的推廣與應(yīng)用,既能夠為圖書館之間的資源共享提供網(wǎng)絡(luò)傳輸途徑,又可以為遠程異地用戶提供資源服務(wù),本文在介紹虛擬專用網(wǎng)技術(shù)的基礎(chǔ)上,給出了基于VPN的圖書館資源遠程訪問解決方案。

圖書館在使用過程中由于涉及到版權(quán)保護,容易導(dǎo)致異地用戶或者外網(wǎng)用戶無法對其資源進行訪問。為了解決此問題,一個典型的遠程訪問技術(shù)VPN(虛擬專用網(wǎng))正在被越來越廣泛的使用。本文在介紹虛擬專用網(wǎng)技術(shù)的基礎(chǔ)上,給出了基于VPN的圖書館資源遠程訪問解決方案。

1 VPN技術(shù)簡介

VPN即虛擬專用網(wǎng),SSL VPN是VPN的一種。其實現(xiàn)軟件既可以安裝在現(xiàn)有服務(wù)器上也可以固化在專業(yè)的硬件上?;谔摂M專用網(wǎng)的圖書館數(shù)字資源訪問技術(shù)優(yōu)勢集中體現(xiàn)在以下幾個方面:

虛擬專用網(wǎng)的簡單性。SSL VPN是最簡單的一種解決遠程用戶訪問圖書館的形式。原因在于SSL協(xié)議是內(nèi)嵌于用戶瀏覽器中的,因此就舍去了客戶端上安裝軟件的步驟,用戶只需連接Internet,就能通過網(wǎng)頁訪問圖書館資源。因此,通過VPN就可以在外網(wǎng)用戶和圖書館之間的建立一條專用的數(shù)據(jù)傳輸通道,客戶對資源的任何訪問均需進行安全的身份驗證。

虛擬專用網(wǎng)的安全性。采取SSL VPN,攻擊者難以偵測出系統(tǒng)網(wǎng)絡(luò)設(shè)置,攻擊機會就會降低許多。通過SSL VPN進行連接,還能夠在很大程度上低于病毒的侵害,保證了圖書館信息系統(tǒng)的安全運行。

保護敏感的數(shù)據(jù)。結(jié)合不同用戶的身份,賦予其相應(yīng)的訪問權(quán)限。通過用戶劃分,降低客戶端的維護工作量,保護了敏感數(shù)據(jù),同時也實現(xiàn)虛擬專用網(wǎng)在圖書館應(yīng)用的快速部署。

擴展性強。隨著網(wǎng)絡(luò)的擴張,虛擬專用網(wǎng)可以實現(xiàn)靈活的擴展。如果圖書館需要添加新的用戶或新的子網(wǎng),只需在VPN服務(wù)器上對已有網(wǎng)絡(luò)軟件配置進行相應(yīng)的修改即可。

2 基于VPN的遠程訪問模式設(shè)計

2.1 SSL VPN 的具體部署方案

圖書館的SSL VPN所部署的位置是內(nèi)網(wǎng)的防火墻后面,結(jié)合具體的安全控制策略,為那些位置分散的用戶架設(shè)從公網(wǎng)進入圖書館內(nèi)網(wǎng)信息資源的訪問途徑。通常采取的方式為:對圖書館內(nèi)網(wǎng)的信息資源服務(wù)器進行設(shè)置,使之為位于外部網(wǎng)絡(luò)的用戶提供虛擬地址,當位于外網(wǎng)的用戶根據(jù)所提供的虛擬URL對圖書館內(nèi)網(wǎng)資源進行訪問時,由SSL VPN網(wǎng)關(guān)獲取來自用戶發(fā)起的連接,同時為遠程客戶與服務(wù)器之間建立加密、解密的隧道,同時采取一定的訪問控制策略,通過對用戶信息進行認證后,向不同的應(yīng)用服務(wù)器進行映射。

結(jié)合圖書館用戶的實際情況,(大部分圖書館用戶均屬于公網(wǎng)用戶),在本文的設(shè)計中,以思科公司的產(chǎn)品應(yīng)用為例,選擇CiscoASA5510設(shè)備,利用其SSL VPN功能,布署于公網(wǎng)和策略分流交換機之間。具體的做法是:以思科CiscoASA 5510服務(wù)器實現(xiàn)Web VPN功能,用戶身份的驗證由Radius Server服務(wù)器實現(xiàn),處于外網(wǎng)的用戶通過所在的網(wǎng)絡(luò)服務(wù)商接入互聯(lián)網(wǎng),之后向WebVPN服務(wù)器發(fā)出身份驗證的請求,身份驗證通過以后,就可以對圖書館內(nèi)網(wǎng)的圖書資源進行訪問。思科CiscoASA 5510服務(wù)器的外網(wǎng)接口與因特網(wǎng)相連,為此接口配置公網(wǎng)的IP地址,位于圖書館外網(wǎng)的用戶可以通過公網(wǎng)地址對其進行訪問,服務(wù)器的內(nèi)網(wǎng)接口連接策略分流交換機,為此接口配置圖書館內(nèi)網(wǎng)IP地址,使之可以和 Radius Server服務(wù)器進行通訊,實現(xiàn)用戶身份的驗證,用戶通過驗證之后,就會被分配一個圖書館內(nèi)網(wǎng)的IP地址,就可以對圖書館資源服務(wù)器群進行訪問了。

2.2 SSL VPN的主要配置過程

以思科ASA5510內(nèi)置的SSL VPN功能構(gòu)建基于網(wǎng)絡(luò)的虛擬專用網(wǎng)服務(wù)器,需要設(shè)置的內(nèi)容包括DNS、網(wǎng)關(guān)和SSL VPN的接口地址等,在初始化設(shè)置之后,為共享圖書資源,還需要配置SSL VPN設(shè)備,下面對幾個關(guān)鍵的配置進行介紹。 轉(zhuǎn)貼于

2.2.1 用戶認證服務(wù)器的添加

因為只能允許一些特定的注冊用戶作為合法的外網(wǎng)用戶,所以,為了對用戶進行身份的確認,必須提供用戶名和密碼。圖書館遠程訪問的權(quán)限包括SSL VPN的使用期限和用戶的并發(fā)數(shù)。本文所選取的思科ASA5510服務(wù)器能夠兼容多種身份認證協(xié)議,系統(tǒng)的管理員可以結(jié)合單位內(nèi)部的認證服務(wù)器進行認證,也可以使用SSL VPN 內(nèi)部的自建帳號進行認證,本文推薦采用的認證協(xié)議是Radius, 進行如下配置:

#啟用radius協(xié)議認證

#配置radius服務(wù)器的使用的key和IP 地址

#應(yīng)用于內(nèi)網(wǎng)口,配置VPN組使用radius協(xié)議

2.2.2 增設(shè)內(nèi)網(wǎng)資源和訪問資源

在系統(tǒng)的資源管理中增設(shè)Web資源或APP資源。例如,在”姓名”一欄中寫入用戶專屬的名字,例如”圖書館資源網(wǎng)”;在”描述”一欄中寫入描述內(nèi)容;在”地址”一欄中寫入訪問網(wǎng)站的主機域名或是IP地址。然后執(zhí)行”Everything under this Url”和“Auto-allow Bookmark”,執(zhí)行完畢后,對學(xué)術(shù)期刊網(wǎng)的遠程訪問設(shè)置進行保存。

2.2.3 用戶角色管理的設(shè)置

這一步驟的主要內(nèi)容是為用戶建立不同訪問權(quán)限的角色,并將這些角色與圖書資源進行關(guān)聯(lián)。這樣,就能讓不同角色的用戶在成功登陸SSL之后,能夠?qū)ο鄳?yīng)角色所具有權(quán)限的圖書館資源進行訪問。因為本文所選擇的身份認證是Radius協(xié)議,所以由radius服務(wù)器來完成用戶的建立和管理,此時思科ASA5510并不需要對本地用戶進行建立,用戶管理的工作量顯著降低了。

2.2.4 外網(wǎng)用戶的訪問

因為圖書館內(nèi)網(wǎng)的ASA5510服務(wù)器與公網(wǎng)相連,所以對外提供Web VPN的地址就是外網(wǎng)口的 IP 地址。具有用戶身份的外網(wǎng)用戶在連接到因特網(wǎng)之后,輸入圖書館內(nèi)網(wǎng)地址就會接收到圖書館 SSL VPN的界面,用戶根據(jù)提示輸入ID和密碼,結(jié)果服務(wù)器認證后,就能夠得到圖書館內(nèi)網(wǎng)的 IP地址以對圖書館資源進行訪問。

3 結(jié)語

虛擬專用網(wǎng)是目前網(wǎng)絡(luò)應(yīng)用發(fā)展的趨勢,隨著信息技術(shù)的發(fā)展和寬帶應(yīng)用的普及,人們對網(wǎng)絡(luò)依賴的日益增強,虛擬專用網(wǎng)應(yīng)用也將變得更加廣泛。對于圖書館服務(wù)而言,VPN正在得到廣泛的推廣與應(yīng)用,既能夠為圖書館之間的資源共享提供網(wǎng)絡(luò)傳輸途徑,又可以為遠程異地用戶提供資源服務(wù),提高了圖書館資源利用效率,必將成為未來圖書館的發(fā)展方向。

參考文獻

[1] 張穎.利用VPN技術(shù)實現(xiàn)圖書館信息資源遠程訪問[J].情報探索,2008(7)69~70.

[2] 徐忻.利用開源軟件實現(xiàn)基于SSLVPN的圖書館遠程訪問[J].現(xiàn)代情報,2009(4)160-163.